1. Home
  2. Blog
  3. DSGVO-konformes Hosting: Die wichtigsten Prüfpunkte für Unternehmen
Sicherheit18. Februar 2026·OpusX Team

DSGVO-konformes Hosting: Die wichtigsten Prüfpunkte für Unternehmen

Worauf Unternehmen bei der Wahl ihres Hosting-Anbieters achten sollten, um die Anforderungen der DSGVO zu erfüllen. Eine praxisnahe Checkliste.

DSGVODatenschutzHostingCompliance

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sind Unternehmen verpflichtet, personenbezogene Daten angemessen zu schützen. Das betrifft nicht nur Ihre Website selbst, sondern auch die Infrastruktur, auf der sie läuft — also Ihr Hosting.

Wer hier nicht sorgfältig prüft, riskiert im schlimmsten Fall Bußgelder und Vertrauensverlust. In diesem Artikel zeigen wir die wichtigsten Prüfpunkte, die Sie bei der Wahl Ihres Hosting-Anbieters beachten sollten.

1. Serverstandort: Wo werden Ihre Daten gespeichert?

Der physische Standort der Server ist einer der wichtigsten Faktoren. Server innerhalb der EU — idealerweise in Deutschland — unterliegen direkt der DSGVO. Das vereinfacht die rechtliche Situation erheblich.

Bei Anbietern mit Servern außerhalb der EU (z.B. USA) müssen Sie sicherstellen, dass angemessene Schutzmaßnahmen getroffen werden — etwa durch Standardvertragsklauseln oder vergleichbare Mechanismen. Das ist aufwändig und rechtlich komplex.

Praxis-Tipp: Fragen Sie konkret nach dem Rechenzentrumsstandort. "Europa" ist nicht gleich "Deutschland". Bei OpusX stehen alle Server in deutschen Rechenzentren.

2. Auftragsverarbeitungsvertrag (AV-Vertrag)

Sobald ein Hosting-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet — und das ist bei jedem Webhosting der Fall — benötigen Sie einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Der AV-Vertrag regelt unter anderem:

  • Welche Daten verarbeitet werden
  • Zu welchem Zweck die Verarbeitung erfolgt
  • Welche technischen und organisatorischen Maßnahmen der Anbieter trifft
  • Wie mit Unterauftragsverarbeitern umgegangen wird

Praxis-Tipp: Prüfen Sie, ob Ihr Hosting-Anbieter einen AV-Vertrag anbietet und wie Sie diesen abschließen können. Bei OpusX kann der AV-Vertrag über den Kundendienst abgeschlossen werden.

3. Verschlüsselung: Daten in Transit und at Rest

Die DSGVO fordert den "Stand der Technik" bei technischen Schutzmaßnahmen. Verschlüsselung ist dabei ein zentraler Baustein:

  • SSL/TLS-Zertifikate: Alle Daten zwischen dem Browser Ihrer Besucher und Ihrem Server sollten verschlüsselt übertragen werden. Bei OpusX sind kostenlose Let's Encrypt SSL-Zertifikate in allen Hosting-Paketen enthalten — für alle Domains und Subdomains.
  • Sichere Protokolle: Achten Sie darauf, dass Ihr Anbieter aktuelle TLS-Versionen unterstützt und veraltete Protokolle deaktiviert hat.

4. Backup-Strategie: Verfügbarkeit und Wiederherstellung

Die DSGVO fordert neben dem Schutz auch die Verfügbarkeit personenbezogener Daten. Eine solide Backup-Strategie ist daher nicht nur Best Practice, sondern auch eine rechtliche Anforderung.

Achten Sie auf:

  • Regelmäßigkeit: Werden Backups täglich erstellt?
  • Aufbewahrungsdauer: Wie viele Tage können Sie zurückgehen?
  • Georedundanz: Werden Backups an einem separaten Standort aufbewahrt?
  • Wiederherstellung: Können Sie Backups selbstständig und zeitnah wiederherstellen?

Bei OpusX werden in allen Hosting-Paketen täglich vollständige Backups erstellt und 14 Tage georedundant aufbewahrt. Die Wiederherstellung ist jederzeit über das Hosting-Interface möglich.

5. Zugriffsmanagement: Wer hat Zugang zu was?

Unbefugter Zugriff auf personenbezogene Daten ist eines der häufigsten Risiken. Ein guter Hosting-Anbieter sollte Ihnen Werkzeuge bieten, um den Zugang zu kontrollieren:

  • Zwei-Faktor-Authentifizierung (2FA): Schützt Ihr Kundenkonto vor unbefugtem Zugriff, selbst wenn Ihr Passwort kompromittiert wird.
  • Container-Isolation: Stellt sicher, dass Websites auf dem gleichen Server nicht auf die Daten anderer Websites zugreifen können.
  • Individuelle Zugriffsrechte: Die Möglichkeit, Zugänge mit unterschiedlichen Berechtigungen zu vergeben.

6. Zertifizierungen des Rechenzentrums

Zertifizierungen geben Ihnen die Sicherheit, dass das Rechenzentrum etablierte Standards für Informationssicherheit, Verfügbarkeit und Datenschutz einhält.

Relevante Zertifizierungen sind unter anderem:

  • ISO/IEC 27001 (Informationssicherheits-Managementsystem)
  • SOC 2 (Kontrollen für Sicherheit, Verfügbarkeit, Vertraulichkeit)
  • Branchenspezifische Standards je nach Ihrem Tätigkeitsfeld

OpusX nutzt Rechenzentren von NTT in Frankfurt. NTT unterhält ein umfangreiches Zertifizierungsprogramm — eine Übersicht der aktuellen Zertifizierungen finden Sie unter nttdata.com/zertifizierungen.

Checkliste: DSGVO-konformes Hosting

Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre Anbieter-Bewertung:

  • Serverstandort in Deutschland oder der EU?
  • AV-Vertrag verfügbar und abschließbar?
  • SSL/TLS-Zertifikate inklusive?
  • Tägliche Backups mit angemessener Aufbewahrungsdauer?
  • Georedundante Backup-Speicherung?
  • Zwei-Faktor-Authentifizierung im Kundenportal?
  • Isolation zwischen verschiedenen Kunden/Websites?
  • Zertifiziertes Rechenzentrum?
  • Transparente Dokumentation der technischen Maßnahmen?

Fazit

DSGVO-konformes Hosting ist keine einmalige Entscheidung, sondern ein fortlaufender Prozess. Die Wahl des richtigen Anbieters ist dabei der wichtigste erste Schritt. Achten Sie auf Serverstandort, AV-Vertrag, Verschlüsselung, Backups und Zugriffsmanagement — und scheuen Sie sich nicht, bei Ihrem Anbieter konkret nachzufragen.

Wenn Sie Fragen zur DSGVO-Konformität Ihres Hostings haben, sprechen Sie uns gerne an.

Zurück zum Blog